电子数据取证笔试试卷

电子数据取证试题说明：考试时间100分钟，满分100分，答案写在答题纸上。

一、单选题（共10题，每题2分，共计20分）1.硬盘作为最常见的计算机存储介质，近几年从容量到性能都有了很大的提高，以下哪种硬盘的理论传输速率最慢？A.SCSIB.IDEC.SASD.SATA2.以下哪种规格是市场上最常见的笔记本硬盘？A. 3.5英寸B. 1.8英寸C. 2.5英寸D.1英寸3.以下哪种规格不是SCSI硬盘的针脚数？A.50B.68C.72D.804.下列哪种接口的存储设备是不支持热插拔的？B接口B.E-SATA接口C.SATA接口D.IDE接口5.下列哪个选项是无法计算哈希值的？A.硬盘B.分区C.文件D.文件夹6.下列文件系统中，哪个是Windows 7系统不支持的？A.exFatB.NTFSC.HFSD.FAT327.下列有关文件的各类时间属性，操作系统是一定不记录的？A.创建时间B.修改时间C.访问时间D.删除时间8.下列哪种不是常见的司法取证中的硬盘镜像格式？A.GhoB.AFFC.S01D.0019.系统日志中某些内容可能对取证有重要意义，比如“事件日志服务启动”通常被视为计算机开机的标志，该事件所对应的事件编号为：A.5005B.5006C.6005D.600610.Encase Forensic是业界文明的司法取证软件，它是下面哪家公司开发的？A.GuidanceB.GetDataC.AccessDataD.PanSafe二、多选题（共10题，每题3分，共计30分）1.通常Windows系统中涉及文件的3个时间属性，M代表Modify，表示最后修改时间；A代表Access，表示最后访问时间；C代表Create，表示创建时间；下列解释错误的是？A．M始终要晚于CB．M、A、C在Linux系统中也适用C．M、A、C时间是不能被任何工具修改的，因此是可信的D．文件的M、A、C时间一旦发生变化，文件的哈希值随之改变2.下列关于对位复制的说法中，不正确的是？A．为了确保目标盘与源盘的一致性，一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制B．为了确保司法取证的有效性，一定要验证目标盘与源盘哈希值的一致性C．为了确保目标盘与源盘的一致性，目标盘的硬盘接口一定要与源盘一致D．当目标盘容量大于源盘时，一定要计算目标盘整盘的哈希值，用于与源盘的哈希值进行比对一致性3.下列关于现场勘验过操作的说法中，不正确的是？A．DD文件是最常用的镜像格式，因为该格式是原始镜像，而且支持高压缩。

电子数据取证分析师国家职业技能标准(2022年版)1.职业概况1.1㊀职业名称电子数据取证分析师1.2㊀职业编码4-04-05-081.3㊀职业定义从事电子数据提取㊁固定㊁恢复㊁分析等工作的人员㊂1.4㊀职业技能等级本职业共设四个等级,分别为:四级/中级工㊁三级/高级工㊁二级/技师㊁一级/高级技师㊂1.5㊀职业环境条件室内㊁外,常温㊂1.6㊀职业能力特征具有较好的学习㊁观察㊁分析㊁推理和判断㊁表达㊁计算㊁色觉㊁视觉和行为能力,动作协调,心理健康㊂1.7㊀普通受教育程度高中毕业(或同等学力)㊂1.8㊀培训参考学时四级/中级工不少于80标准学时;三级/高级工㊁二级/技师不少于120标准学时;一级/高级技师不少于80标准学时㊂1.9㊀职业技能鉴定要求1.9.1㊀申报条件具备以下条件之一者,可申报四级/中级工:(1)取得相关职业①五级/初级工职业资格证书(技能等级证书)后,累计从事本职业或相关职业工作3年(含)以上㊂(2)累计从事本职业或相关职业工作5年(含)以上㊂(3)取得技工学校本专业或相关专业②毕业证书(含尚未取得毕业证书的在校应届毕业生);或取得经评估论证㊁以中级技能为培养目标的中等及以上职业学校本专业或相关专业毕业证书(含尚未①②相关职业:网络与信息安全管理员㊁信息安全测试员㊁密码技术应用员㊁通信工程技术人员㊁计算机硬件工程技术人员㊁计算机软件工程技术人员㊁计算机网络工程技术人员㊁信息系统分析工程技术人员㊁信息系统运行维护工程技术人员㊁信息管理工程技术人员㊁物联网工程技术人员㊁工业互联网工程技术人员㊁数据分析处理工程技术人员㊁信息通信网络运行管理员㊁信息通信信息化系统管理员㊁计算机程序设计员㊁计算机软件测试员等,下同㊂本专业或相关专业:司法鉴定(物证技术)电子数据鉴定㊁公安技术网络安全执法㊁刑事技术(公安技术)电子物证检验㊁信息安全㊁网络空间安全㊁网络信息安全㊁网络与信息安全㊁信息安全与管理㊁网络安全与执法㊁保密技术㊁大数据技术与应用㊁电子技术应用㊁电子商务技术㊁电子与计算机工程㊁电子与信息技术㊁工业互联网技术应用㊁计算机程序设计㊁计算机科学与技术㊁计算机网络技术㊁计算机网络应用㊁网络工程㊁计算机系统与维护㊁计算机信息管理㊁计算机应用技术㊁计算机应用与维修㊁计算机与数码产品维修㊁空间信息与数字技术㊁区块链工程㊁人工智能技术服务㊁人工智能技术应用㊁软件工程㊁软件技术㊁软件与信息服务㊁数据科学与大数据技术㊁数字媒体技术㊁数字媒体技术应用㊁通信技术㊁通信网络应用㊁通信系统工程安装与维护㊁通信运营服务㊁网络安防系统安装与维护㊁网站建设与管理㊁物联网工程㊁物联网技术应用㊁物联网应用技术㊁新媒体技术㊁虚拟现实技术㊁虚拟现实技术应用㊁虚拟现实应用技术㊁移动应用技术与服务㊁移动应用开发㊁云计算技术应用㊁云计算技术与应用㊁智能科学与技术等,下同㊂取得毕业证书的在校应届毕业生)㊂具备以下条件之一者,可申报三级/高级工:(1)取得本职业或相关职业四级/中级工职业资格证书(技能等级证书)后,累计从事本职业或相关职业工作4年(含)以上㊂(2)取得本职业或相关职业四级/中级工职业资格证书(技能等级证书)后,并具有高级技工学校㊁技师学院毕业证书(含尚未取得毕业证书的在校应届毕业生);或取得本职业或相关职业四级/中级工职业资格证书(技能等级证书),并具有经评估论证㊁以高级技能为培养目标的高等职业学校本专业或相关专业毕业证书(含尚未取得毕业证书的在校应届毕业生)㊂(3)具有大专及以上本专业或相关专业毕业证书,并取得本职业或相关职业四级/中级工职业资格证书(技能等级证书)后,累计从事本职业或相关职业工作2年(含)以上㊂具备以下条件之一者,可申报二级/技师:(1)取得本职业或相关职业三级/高级工职业资格证书(技能等级证书)后,累计从事本职业或相关职业工作4年(含)以上㊂(2)取得本职业或相关职业三级/高级工职业资格证书(技能等级证书)的高级技工学校㊁技师学院毕业生,累计从事本职业或相关职业工作3年(含)以上;或取得本职业或相关职业预备技师证书的技师学院毕业生,累计从事本职业或相关职业工作2年(含)以上㊂具备以下条件者,可申报一级/高级技师:取得本职业或相关职业二级/技师职业资格证书(技能等级证书)后,累计从事本职业或相关职业工作4年(含)以上㊂1.9.2㊀鉴定方式分为理论知识考试㊁技能考核以及综合评审㊂理论知识考试以笔试㊁机考等方式为主,主要考核从业人员从事本职业应掌握的基本要求和相关知识要求;技能考核主要采用现场操作㊁模拟操作等方式进行,主要考核从业人员从事本职业应具备的技能水平;综合评审主要针对技师和高级技师,通常采取审阅申报材料㊁答辩等方式进行全面评议和审查㊂理论知识考试㊁技能考核和综合评审均实行百分制,成绩皆达60分(含)以上者为合格㊂1.9.3㊀监考人员㊁考评人员与考生配比理论知识考试中的监考人员与考生配比为1ʒ15,且每个考场不少于2名监考人员;技能考核中的考评人员与考生配比不低于1ʒ5,且考评人员为3人(含)以上单数;综合评审委员为3人(含)以上单数㊂1.9.4㊀鉴定时间理论知识考试时间不少于90min,技能考核时间不少于120min,综合评审时间不少于20min㊂1.9.5㊀鉴定场所设备理论知识考试在标准教室或机房进行;技能考核在具有必备的电子数据取证分析设备㊁软硬件设施的场所进行;综合评审可在配有教学设备的标准教室或实训场所进行㊂2.基本要求2.1㊀职业道德2.1.1㊀职业道德基本知识2.1.2㊀职业守则(1)遵纪守法,爱岗敬业㊂(2)爱护设备,安全操作㊂(3)诚实守信,保守秘密㊂(4)勇于创新,精益求精㊂(5)管控流程,保障隐私㊂(6)履行义务,保护数据㊂2.2㊀基础知识2.2.1㊀基础理论知识(1)计算机硬件基础知识㊂(2)计算机软件基础知识㊂(3)操作系统基础知识㊂(4)数据库基础知识㊂(5)计算机网络基础知识㊂2.2.2㊀相关法律法规㊁管理规定㊁标准知识(1)‘中华人民共和国刑法“相关知识㊂(2)‘中华人民共和国治安管理处罚法“相关知识㊂(3)‘中华人民共和国劳动法“相关知识㊂(4)‘中华人民共和国民法典“相关知识㊂(5)‘中华人民共和国网络安全法“相关知识㊂(6)‘中华人民共和国密码法“相关知识㊂(7)‘中华人民共和国数据安全法“相关知识㊂(8)‘中华人民共和国个人信息保护法“相关知识(9)电子数据取证分析相关管理规定㊁标准相关知识㊂3.工作要求本标准对四级/中级工㊁三级/高级工㊁二级/技师㊁一级/高级技师的技能要求和相关知识要求依次递进,高级别涵盖低级别的要求㊂3.1㊀四级/中级工职业功能工作内容技能要求相关知识要求1.电子数据提取与固定1.1电子数据保全1.1.1能使用录像录屏设备对电子数据取证行为进行记录1.1.2能使用工具对电子数据进行保全1.1.3能使用工具对电子数据存在环境进行保全1.1.1电子数据保全相关工作流程1.1.2电子数据保全操作方法1.1.3电子数据校验方法1.2计算机数据提取与固定1.2.1能使用工具对目标存储介质数据进行镜像文件制作1.2.2能使用工具将目标存储介质数据复制到其他存储介质上1.2.3能使用工具对计算机虚拟机进行镜像制作1.2.4能对计算机虚拟机特定数据进行提取与固定1.2.1存储介质数据镜像制作方法1.2.2存储介质数据复制方法1.2.3计算机虚拟机镜像制作方法1.2.4计算机虚拟机特定数据提取与固定方法续表职业功能工作内容技能要求相关知识要求1.电子数据提取与固定1.3移动终端数据提取与固定1.3.1能使用系统备份工具对安卓终端中的数据进行提取与固定1.3.2能使用系统备份工具对iOS终端中的数据进行提取与固定1.3.3能使用系统备份工具对鸿蒙终端中的数据进行提取与固定1.3.1安卓终端备份方法1.3.2iOS终端备份方法1.3.3鸿蒙终端备份方法1.4工控设备数据提取与固定1.4.1能使用工具提取常见工控设备系统日志1.4.2能使用工具将常见目标工控设备数据复制到存储介质上1.4.1常见工控设备系统日志获取方法1.4.2常见工控设备数据复制方法2.电子数据恢复2.1文件恢复2.1.1能使用工具基于文件系统进行文件恢复2.1.2能使用工具基于文件特征进行文件恢复2.1.1基于文件系统进行文件恢复的方法2.1.2基于文件特征进行文件恢复的方法2.2数据恢复2.2.1能使用工具基于系统架构进行数据恢复2.2.2能使用工具基于文件结构进行数据恢复2.2.1基于系统架构进行数据恢复的方法2.2.2基于文件结构进行数据恢复的方法续表职业功能工作内容技能要求相关知识要求3.电子数据分析3.1计算机取证分析3.1.1能使用工具对计算机系统进行在线数据分析3.1.2能使用工具对磁盘㊁U盘㊁光盘等存储介质数据进行分析3.1.3能使用工具对磁盘㊁U盘㊁光盘等存储介质镜像数据进行分析3.1.4能使用工具对计算机备份数据进行分析3.1.1计算机系统在线数据分析方法3.1.2存储介质数据分析方法3.1.3存储介质镜像数据分析方法3.1.4计算机备份数据分析方法3.2移动终端取证分析3.2.1能使用工具对移动终端备份进行数据分析3.2.2能使用工具对移动终端镜像进行数据分析3.2.3能使用工具对移动终端进行数据分析3.2.1移动终端备份解析工具使用方法3.2.2移动终端镜像解析工具使用方法3.2.3移动终端镜像中特定文件查看与导出方法3.2.4移动终端备份中特定文件查看与导出方法3.3电子数据取证分析报告编写3.3.1能使用工具生成电子数据取证报告3.3.2能根据国家相关规定编写电子数据取证分析报告3.3.1电子数据取证报告生成方法3.3.2电子数据取证分析报告编写方法与要求3.2㊀三级/高级工职业功能工作内容技能要求相关知识要求1.电子数据提取与固定1.1计算机数据提取与固定1.1.1能使用工具对计算机操作系统进行备份1.1.2能提取常见计算机操作系统日志1.1.3能提取常见数据库日志1.1.4能提取常见服务的应用日志1.1.5能使用工具对远程计算机进行镜像1.1.1计算机操作系统备份方法1.1.2计算机操作系统日志提取方法1.1.3常见数据库日志提取方法1.1.4常见服务应用日志提取方法1.1.5远程计算机镜像方法1.2移动终端数据提取与固定1.2.1能使用第三方备份工具对安卓终端中的数据进行提取与固定1.2.2能使用第三方备份工具对iOS终端中的数据进行提取与固定1.2.3能使用工具对移动终端模拟器中的数据进行提取与固定1.2.4能使用工具对非主流系统终端中的数据进行提取与固定1.2.1第三方备份工具使用方法1.2.2移动终端模拟器数据提取与固定方法1.2.3非主流系统终端数据提取与固定方法续表职业功能工作内容技能要求相关知识要求1.电子数据提取与固定1.3工控设备数据提取与固定1.3.1能对工控设备中存储的流量日志进行提取与固定1.3.2能获取常见工控设备系统应用数据1.3.1工控设备流量日志提取与固定方法1.3.2工控设备系统应用数据获取方法1.4智能芯片数据提取与固定卡取证1.4.1能使用工具对常见的移动终端芯片进行数据提取与固定1.4.2能使用工具对常见的物联网芯片进行数据提取与固定1.4.3能使用工具对常见的存储卡芯片进行数据提取与固定1.4.1常见移动终端芯片数据提取与固定方法1.4.2常见物联网芯片数据提取与固定方法1.4.3常见存储卡芯片数据提取与固定方法2.电子数据恢复2.1文件恢复2.1.1能判断文件的存在性2.1.2能对自定义文件系统进行文件恢复2.1.1文件存在性判断方法2.1.2自定义文件系统文件恢复方法2.2数据恢复2.2.1能判断数据的存在性2.2.2能对无文件系统的数据存储进行数据恢复2.2.1数据存在性判断方法2.2.2无文件系统数据存储的数据恢复方法续表职业功能工作内容技能要求相关知识要求3.电子数据分析3.1计算机取证分析3.1.1能对计算机中的非主流程序数据进行定位与分析3.1.2能对计算机中的关键数据进行定位与分析3.1.1计算机中非主流程序数据定位与分析方法3.1.2计算机中关键数据的定位与分析方法3.2移动终端取证分析3.2.1能对移动终端中的非主流程序数据进行定位与分析3.2.2能对移动终端中的关键数据进行定位与分析3.2.1移动终端中非主流程序数据定位与分析方法3.2.2移动终端中关键数据定位与分析方法3.3分析程序编写3.3.1能使用Python/Ja-va/C/C++/C#等一种或多种编程语言开发程序对提取与固定的数据进行分析3.3.2能使用常用的第三方分析库对提取与固定的数据进行分析3.3.1分析程序的编写方法3.3.2常用第三方分析库的使用方法3.4数据统计及挖掘3.4.1能对数据进行清洗与预处理3.4.2能根据数据获取人员自然属性3.4.3能根据数据获取人员关系基本模式3.4.4能根据数据分析数据规律与统计信息3.4.1数据清洗与预处理方法3.4.2表数据整理与信息获取方法3.4.3数据规律与统计信息分析方法3.3㊀二级/技师职业功能工作内容技能要求相关知识要求1.电子数据提取与固定1.1计算机数据提取与固定1.1.1能使用工具对计算机网络流量进行固定1.1.2能使用工具对计算机内存数据进行镜像制作1.1.3能对容器内特定数据进行提取与固定1.1.4能使用工具对容器进行镜像制作1.1.1网络流量抓包方法1.1.2计算机内存数据提取与固定方法1.1.3容器内特定数据提取与固定方法1.1.4容器镜像制作方法1.2移动终端数据提取与固定1.2.1能获取安卓智能终端物理镜像1.2.2能使用工具对安卓终端数据进行提取与固定1.2.3能使用工具对iOS智能终端数据进行提取与固定1.2.4能对移动终端网络流量进行提取与固定1.2.1安卓智能终端物理镜像获取方法1.2.2安卓终端数据提取与固定方法1.2.3iOS智能终端数据提取与固定方法1.2.4移动终端网络流量提取与固定方法1.3物联网设备数据提取与固定1.3.1能对智能家居设备数据进行提取与固定1.3.2能对智能穿戴设备数据进行提取与固定1.3.1智能家居设备数据提取与固定方法1.3.2智能穿戴设备数据提取与固定方法1.4工控设备数据提取与固定1.4.1能使用工具对常见目标工控设备进行镜像制作1.4.2能对工控设备网络流量进行提取与固定1.4.1常见工控设备镜像制作方法1.4.2工控设备网络流量提取与固定方法续表职业功能工作内容技能要求相关知识要求1.电子数据提取与固定1.5网络安全防护设备数据提取与固定1.5.1能对入侵检测㊁防御系统数据进行提取与固定1.5.2能对蜜罐㊁沙箱系统数据进行提取与固定1.5.3能对其他常见网络安全防护设备日志进行提取与固定1.5.4能对常见网络安全防护设备网络流量数据进行提取与固定1.5.1入侵检测㊁防御系统数据提取与固定方法1.5.2蜜罐㊁沙箱系统数据提取与固定方法1.5.3常见网络安全防护设备日志提取与固定方法1.5.4常见网络安全防护设备网络流量数据提取与固定方法2.电子数据恢复2.1物理恢复2.1.1能对硬盘进行开盘修复2.1.2能对存储芯片焊接并对数据进行提取2.1.3能对移动设备的JTAG接口数据进行提取2.1.1硬盘开盘修复方法2.1.2存储芯片焊接和数据提取方法2.1.3移动设备JTAG接口数据提取方法2.2集群恢复2.2.1能对磁盘阵列进行重组恢复2.2.2能对集群进行恢复2.2.1磁盘阵列重组方法2.2.2集群恢复方法3.电子数据分析3.1解密分析3.1.1能对加密文件进行识别和查找3.1.2能使用工具对加密文件进行解密3.1.3能解密加密磁盘㊁容器和系统3.1.4能使用工具对文件中包含的隐藏信息进行分析3.1.1常用加解密算法3.1.2加密特征和识别方法3.1.3密码解密相关工具续表职业功能工作内容技能要求相关知识要求3.电子数据分析3.2构建电子数据分析模型3.2.1能对人物关系建立模型并进行分析3.2.2能对资金数据建立模型并进行分析3.2.3能对地理位置信息建立数据模型并进行分析3.2.1人物关系模型建立与分析方法3.2.2资金数据模型建立与分析方法3.2.3地理位置信息数据模型建立与分析方法3.3逆向工程分析3.3.1能使用常见工具对程序进行简单静态分析3.3.2能使用常见工具对程序进行简单动态分析3.3.3能使用模拟程序获取程序运行信息3.3.1程序简单静态分析方法3.3.2程序简单动态分析方法3.3.3程序运行信息获取方法3.4云服务功能分析3.4.1能使用工具启动㊁还原云服务及数据库3.4.2能还原云服务的虚拟网络拓扑3.4.3能分析数据库的连接地址与口令3.4.4能对服务器上的网站代码定位并分析其功能3.4.5能对数据库的关键表进行定位与分析3.4.1网站源码获取与分析方法3.4.2云服务网络拓扑知识3.4.3数据库连接信息分析方法3.4.4网站代码定位与功能分析方法3.4.5数据库关键表的定位与分析方法续表职业功能工作内容技能要求相关知识要求3.电子数据分析3.5区块链数据分析3.5.1能对虚拟货币数据进行分析3.5.2能对虚拟货币资金交易记录进行分析3.5.3能对智能合约进行分析3.5.1虚拟货币数据分析方法3.5.2虚拟货币资金交易记录分析方法3.5.3智能合约分析方法4.培训与指导4.1培训实施4.1.1能制订培训工作计划4.1.2能编制和实施培训方案4.1.3能编写培训教材㊁讲义㊁课件4.1.4能进行培训宣讲4.1.1培训工作计划制订要求与方法4.1.2培训方案编制和实施方法4.1.3培训教材㊁讲义㊁课件编写方法4.1.4培训宣讲方法4.2技术指导4.2.1能对三级/高级工及以下级别人员进行技能指导4.2.2能对三级/高级工及以下级别人员技能水平进行考核4.2.1操作经验和技能总结方法4.2.2技能和理论知识水平考核要求和方法4.2.3技能和理论知识水平考核内容制定方法3.4㊀一级/高级技师职业功能工作内容技能要求相关知识要求1.电子数据提取与固定1.1数据固定1.1.1能提出对前沿设备数据进行数据提取的方法1.1.2能提出对存在系统限制的非主流设备进行数据采集的方法1.1.3能提出汽车数据提取与固定的方法1.1.1前沿设备数据提取研究方法1.1.2电子设备系统框架核心分析方法1.1.3汽车数据提取与固定方法1.2数据解密1.2.1能提出应用工具对主流应用数据进行解密的方法1.2.2能提出应用工具对主流容器进行解密的方法1.2.3能提出应用工具对前沿应用数据进行解密的方法1.2.1数据加密解密方法1.2.2容器加密解密方法1.2.3前沿应用数据解密方法2.电子数据恢复2.1数据恢复2.1.1能提出对前沿数据库系统进行数据恢复的实施方法2.1.2能提出损坏文件数据修复的实施方法2.1.3能提出通过备份㊁日志以及其他数据对数据库进行恢复的实施方法2.1.1数据库应用系统的设计方法2.1.2主流文件的存储结构与恢复方法2.1.3主流数据库系统数据存储原理与恢复方法续表职业功能工作内容技能要求相关知识要求2.电子数据恢复2.2文件恢复2.2.1能提出对前沿设备文件系统文件删除恢复的实施方法2.2.2能提出对主流文件系统进行文件恢复的实施方法2.2.1主流文件系统数据存储原理与恢复方法2.2.2主流文件数据结构与恢复方法2.2.3前沿文件系统数据结构与恢复方法2.3系统恢复2.3.1能提出对损坏系统进行恢复的方法2.3.2能提出对大数据系统进行重组的方法2.3.1损坏系统恢复方法2.3.2大数据系统重组方法3.电子数据分析3.1电子数据分析模型构建3.1.1能使用数据模型完成数据的关系㊁空间㊁时间等多维度分析3.1.2能对数据进行关联碰撞分析3.1.3能提出数据挖掘分析实施方法3.1.1数据挖掘与分析方法3.1.2数据库应用系统设计方法3.1.3数据分析模型建设方法3.2程序功能分析3.2.1能提出分析程序主要功能的实施方法3.2.2能提出监控程序行为的实施方法3.2.3能提出对行为流量分析的实施方法3.2.1程序逆向分析方法3.2.2程序监控分析方法3.2.3行为流量分析方法续表职业功能工作内容技能要求相关知识要求3.电子数据分析3.3人工智能分析3.3.1能对基于人工智能的应用进行分析3.3.2能对基于人工智能伪造的数据进行分析3.3.1人工智能应用分析方法3.3.2人工智能伪造数据分析方法4.培训与指导4.1培训实施4.1.1能对培训需求进行分析4.1.2能编制培训规划4.1.3能对培训预算和决算进行审核4.1.1培训需求分析要求和方法4.1.2培训规划编制要求4.1.3培训预算与决算的审核方法4.2技术指导4.2.1能对二级/技师及以下级别人员进行技能操作指导4.2.2能对二级/技师及以下级别人员进行技能水平考核4.2.3能组织开展技术改造㊁技术革新活动4.2.1技能操作指导方法4.2.2技能考核方法4.2.3技术改造与革新方法4.权重表4.1㊀理论知识权重表技能等级项目四级/中级工(%)三级/高级工(%)二级/技师(%)一级/高级技师(%)基本要求职业道德5555基础知识151055相关知识要求电子数据提取与固定30302020电子数据恢复30302020电子数据分析20254040培训与指导 1010合计1001001001004.2㊀技能要求权重表技能等级项目四级/中级工(%)三级/高级工(%)二级/技师(%)一级/高级技师(%)技能要求电子数据提取与固定40302020电子数据恢复40302020电子数据分析20405050培训与指导 1010合计100100100100124040508。

电子数据取证理论技能考核试卷姓名：部门：成绩：________________一、单项选择题（每题1.5分，共30分）1.现场拍照一般建议的流程是：（ B ）A. 小区入口→房间→楼层、门牌号→主卧→电脑B. 小区入口→楼层、门牌号→房间→主卧→电脑C. 小区入口→主卧→房间→楼层、门牌号→电脑D. 小区入口→电脑→房间→楼层、门牌号→主卧2.目前主流的硬盘接口，俗称“串口”的为：（ D ）A. ZIFB. SASC. IDED. SATA3.以下哪些是属于常见的硬盘接口？（ E ）A. IDEB. SATAC. LIFD. SASE. 以上都是4.需要一个记录有多数文件的文件签名特征及扩展名的数据库，即：（ B ）A. 签名库B. 文件签名库C. 文件库D. 文件属性库5.文件头部包含了成为（ C ）的识别信息，同一类型文件的文件头部信息是相同的。

A. 文件头B. 扩展名C. 签名D. 以上答案均不正确6.IMEI是国际移动设备身份码的缩写，国际移动装备识别码，是由（ C ）位数字组成的"电子串码"，它与每台手机相对应，理论上该码是全世界唯一的。

A. 14B. 16C. 15D. 187.通常情况下，收集数据的获取由现场环境和取证条件而决定，不包括以下哪种情况？（ D ）A、可视化获取B、逻辑获取C、物理获取D、动态获取8.手机数据物理获取是使用特定的方法或软硬件工具，将手机内部存储空间完整获取，以便进行后期调查分析，以下不是物理获取方法的是（ C ）A. 镜像采集终端获取B. JTAG获取C. 动态获取D. 焊接获取9.手机无法与分析机正常连接的原因（ D ）A、手机驱动问题B、手机通讯模式问题C、手机数据线问题D、以上都是10.SCSI转换器用于将SCSI硬盘转换为标准（ A ）接口，从而与主机连接。

A、SATAB、IDEC、SASD、LIF11.开盘维修硬盘需要的环境（ B ）A、真空室B、无尘室C、氧气室D、自然环境12.SAS为（），SATA为（ B ）A、全双工全双工B、全双工半双工C、半双工全双工D、半双工半双工13.手机输入PIN码3次都错误，SIM卡会被锁定，此时需要输入( B )码解锁。

精品文档电子数据取证试题说明：考试时间100分钟，满分100分，答案写在答题纸上。

一、单选题（共10题，每题2分，共计20分）1.硬盘作为最常见的计算机存储介质，近几年从容量到性能都有了很大的提高，以下哪种硬盘的理论传输速率最慢？A.SCSIB.IDEC.SASD.SATA2.以下哪种规格是市场上最常见的笔记本硬盘？C.2.5英寸英寸B.A.3.5英寸 1.8D.1英寸3.以下哪种规格不是SCSI硬盘的针脚数？B.68C.72D.A.50 804.下列哪种接口的存储设备是不支持热插拔的？B. E-SATA接口C.SATA接口D.IDE接口 B接口5.下列哪个选项是无法计算哈希值的？B.分区C.文件D.A.硬盘文件夹6.下列文件系统中，哪个是Windows 7系统不支持的？A.exFatB.NTFSC.HFSD.FAT327.下列有关文件的各类时间属性，操作系统是一定不记录的？B.修改时间C.A.创建时间访问时间D.删除时间8.下列哪种不是常见的司法取证中的硬盘镜像格式？A.GhoB.AFFC.S01D.0019.系统日志中某些内容可能对取证有重要意义，比如“事件日志服务启动”通常被视为计算机开机的标志，该事件所对应的事件编号为：A.5005B.5006C.6005D.600610.Encase Forensic是业界文明的司法取证软件，它是下面哪家公司开发的？D.C.A.Guidance B.GetDataAccessDataPanSafe二、多选题（共10题，每题3分，共计30分）1.通常Windows系统中涉及文件的3个时间属性，M代表Modify，表示最后修改时间；A代表Access，表示最后访问时间；C代表Create，表示创建时间；下列解释错误的是？A．M始终要晚于CB．M、A、C在Linux系统中也适用C．M、A、C时间是不能被任何工具修改的，因此是可信的精品文档．精品文档D．文件的M、A、C时间一旦发生变化，文件的哈希值随之改变2.下列关于对位复制的说法中，不正确的是？A．为了确保目标盘与源盘的一致性，一定要找到与源盘品牌、型号、容量均一致的目标盘进行复制B．为了确保司法取证的有效性，一定要验证目标盘与源盘哈希值的一致性C．为了确保目标盘与源盘的一致性，目标盘的硬盘接口一定要与源盘一致D．当目标盘容量大于源盘时，一定要计算目标盘整盘的哈希值，用于与源盘的哈希值进行比对一致性3.下列关于现场勘验过操作的说法中，不正确的是？A．DD文件是最常用的镜像格式，因为该格式是原始镜像，而且支持高压缩。

第一章单元测试1、单选题：根据洛卡德物质交换（转移）原理，下列说法正确的是（）。

选项：A:两个对象接触时，物质不会在这两个对象之间产生交换或者转移。

B:网络犯罪过程中，嫌疑人使用的电子设备同被害者使用的电子设备、网络之间的电子数据不存在相互交换。

C:嫌疑人会获取所侵入计算机中的电子数据；另一方面他也会在所侵入计算机系统中留下有关自己所使用计算机的电子“痕迹”。

D:网络犯罪中的电子数据或“痕迹”都是自动转移或交换的结果，受人为控制，不仅保存于作为犯罪工具的计算机与处于被害地位的计算机中，而且在登录所途经的有关网络节点中也有保留。

答案: 【嫌疑人会获取所侵入计算机中的电子数据；另一方面他也会在所侵入计算机系统中留下有关自己所使用计算机的电子“痕迹”。

】2、单选题：电子数据作为证据使用的基本特性包括( )。

选项：A:客观性、合法性、电子性B:客观性、合法性、关联性C:客观性、虚拟性、关联性D:客观性、真实性、电子性答案: 【客观性、合法性、关联性】3、多选题：电子数据取证架构包括下列哪些（）组成。

选项：A:对象层B:基础层C:技术层D:证据层答案: 【对象层;基础层;技术层;证据层】4、多选题：电子数据取证与应急响应在哪些方面存在不同（）。

选项：A:过程B:目标C:实施主体D:使用的方法和技术答案: 【过程;目标;实施主体】5、判断题：要做好电子数据取证，不仅要掌握电子数据的物理存储知识，还必须掌握电子数据的逻辑存储知识。

（）选项：A:错B:对答案: 【对】第二章单元测试1、单选题：通常使用（）来保障电子证据的“真实性”与“有效性”。

选项：A:数据获取技术B:数字校验技术C:克隆技术D:数据恢复技术答案: 【数字校验技术】2、多选题：物理修复包括（）。

选项：A:芯片级修复B:固件修复C:文件级修复D:物理故障修复答案: 【芯片级修复;固件修复;物理故障修复】3、多选题：以下属于FAT32文件系统逻辑结构的是（）。

电子数据取证理论技能考核试卷姓名：部门：成绩：________________一、单项选择题（每题1.5分，共30分）1.现场拍照一般建议的流程是：（ B ）A. 小区入口→房间→楼层、门牌号→主卧→电脑B. 小区入口→楼层、门牌号→房间→主卧→电脑C. 小区入口→主卧→房间→楼层、门牌号→电脑D. 小区入口→电脑→房间→楼层、门牌号→主卧2.目前主流的硬盘接口，俗称“串口”的为：（ D ）A. ZIFB. SASC. IDED. SATA3.以下哪些是属于常见的硬盘接口？（ E ）A. IDEB. SATAC. LIFD. SASE. 以上都是4.需要一个记录有多数文件的文件签名特征及扩展名的数据库，即：（ B ）A. 签名库B. 文件签名库C. 文件库D. 文件属性库5.文件头部包含了成为（ C ）的识别信息，同一类型文件的文件头部信息是相同的。

A. 文件头B. 扩展名C. 签名D. 以上答案均不正确6.IMEI是国际移动设备身份码的缩写，国际移动装备识别码，是由（ C ）位数字组成的"电子串码"，它与每台手机相对应，理论上该码是全世界唯一的。

A. 14B. 16C. 15D. 187.通常情况下，收集数据的获取由现场环境和取证条件而决定，不包括以下哪种情况？（ D ）A、可视化获取B、逻辑获取C、物理获取D、动态获取8.手机数据物理获取是使用特定的方法或软硬件工具，将手机内部存储空间完整获取，以便进行后期调查分析，以下不是物理获取方法的是（ C ）A. 镜像采集终端获取B. JTAG获取C. 动态获取D. 焊接获取9.手机无法与分析机正常连接的原因（ D ）A、手机驱动问题B、手机通讯模式问题C、手机数据线问题D、以上都是10.SCSI转换器用于将SCSI硬盘转换为标准（ A ）接口，从而与主机连接。

A、SATAB、IDEC、SASD、LIF11.开盘维修硬盘需要的环境（ B ）A、真空室B、无尘室C、氧气室D、自然环境12.SAS为（），SATA为（ B ）A、全双工全双工B、全双工半双工C、半双工全双工D、半双工半双工13.手机输入PIN码3次都错误，SIM卡会被锁定，此时需要输入( B )码解锁。

电子数据取证工作试题与答案电子数据取证工作试题一、单选1CPU的中文含义是____。

A主机B中央处理器C运算器D控制器2DOS命令实质上就是一段____。

A数据B可执行程序C数据库D计算机语言3E01的块数据校验采用A CRC算法B MD5算法C SHA-1算法D SHA-2算法4E01证据文件分卷大小默认为A 4.7GB 600MC 640MD 700M5FAT文件系统中，当用户按Shift+Del删除该文件后，以下描述正确的是？1A文件已经彻底从硬盘中删除B文件已删除，但文件内容首字节被改为十六进制E5C还在回收站中，可用取证大师恢复D文件已删除，但是数据还在，目录项首字节被改为十六进制E56FAT文件系统中通常有多少个FAT表?A 1B 2C 3D 47Linux系统中常见的文件系统是A Ext2/Ext3/Ext4B NTFSC FAT32D CDFS8MBR扇区通常最后两个字节十六进制值为(编码次序不考虑)A AA 11B 11 FFC 55 AAD 66 BB9Windows记事本不克不及储存的文本编码为A ANSIB RTFC UnicodeD UTF-810Windows中的“剪贴板”是________。

A一个应用程序B磁盘上的一个文件C内存中的一个空间D一个公用文档11不属于简体中文编码的是2A Big5B UFT-8C UnicodeD GB231212操作系统以扇区（Sector）形式将信息存储在硬盘上，每个扇区包括（）个字节的数据和一些其他信息。

A 64B 32C 58D 51213磁盘经过高级花式化后,其外表构成多个分歧半径的同心圆,这些同心圆称为____。

A磁道B扇区C族D磁面14磁盘在格式化的时候被分为许多同心圆，这些同心圆轨迹叫做磁道，磁道是如何编号的A由外向内从开始编号B由外向内从1开始编号C由外向外从开始编号D由内向外从1开始编号15当前大多数硬盘采用的寻址方式为ACHSBLBACAUTODLARGE16断电会使原存信息消逝的储备器是____。

1、说明在Python中常用的注释方式包括哪些？答：①单行注释：行首# ②多行注释：三个单引号或三个双引号包括要注释的内容③编码注释：#coding=utf-8或#coding=gbk ④平台注释：#！usr/bin/python2、说明在Python中单引号、双引号和三引号之间的区别。

答：①单引号和双引号通常用于单行字符串的表示，也可通过使用\n换行后表示多行字符串②三单引号和三双引号通常用于表示多行字符串以及多行注释，表示多行时无需使用任何多余字符。

③使用单引号表示的字符串中可以直接使用双引号而不必进行转义，使用双引号表示的字符同理；三引号中可直接使用单引号和双引号而无需使用反斜杠转转义，三引号表示的字符串中可以输出#后面的内容。

3、说明在Python中的代码a,b=b,a实现了什么功能。

答：a,b数值互换4、Python提供了哪两种基本的循环结构。

答：For，while5、Python中的常用可迭代对象包括哪些？答：①序列，包括列表、元组、字典、集合及range②迭代器对象③生成器对象④文件对象6、Python2.7的标准库hashlib中包含的hash算法包括哪些？答：MD5，SHA1，SHA256，SHA512。

7、在Python编程中，常见的结构化输出文件格式包括哪些。

答：Csv,xml,html,json8、在Python编程中，变量名区分英文字母的大小写，基于值的内存管理方式，使用缩进来体现代码之间的逻辑关系。

（√）9、Python中的lambda函数也就是指匿名函数，通常是在需要一个函数，但是又不想去命名一个函数的场合下使用。

（√）10、在Python中如果需要处理文件路径，可以使用（OS ）模块中的对象和方法。

11、在Python中的字符串和元组属于不可变序列，列表、字典、集合属于可变序列。

（√）12、在Python中集合数据类型的所有元素不允许重复。

（√）13、在Python中如何创建只包含一个元素的元组？答：tuple1=(a, )14、在Python中字典数据类型的“值”允许重复，“键”不可以重复。